Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iOS 16.7.8 és iPadOS 16.7.8
Kiadás dátuma: 2024. május 13.
Core Data
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A környezeti változók validálásának továbbfejlesztésével megoldottuk a problémát.
CVE-2024-27805: Kirin (@Pwnrin) és 小来来 (@Smi1eSEC)
Bejegyzés hozzáadva: 2024. június 10.
CoreMedia
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Bejegyzés hozzáadva: 2024. június 10.
CoreMedia
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2024-27831: Amir Bazine és Karsten König (CrowdStrike Counter Adversary Operations)
Bejegyzés hozzáadva: 2024. június 10.
Foundation
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Előfordulhatott, hogy egy magasabb szintű jogosultságokkal nem rendelkező alkalmazás rögzíteni tudta a billentyűleütéseket más alkalmazásokban, köztük a biztonságos beviteli módot használókban is.
Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.
CVE-2024-27799: anonim kutató
Bejegyzés hozzáadva: 2024. június 10.
Kernel
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-27818: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Bejegyzés hozzáadva: 2024. június 10.
Kernel
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A már kernelszintű kódvégrehajtási jogosultságot szerzett támadók megkerülhették a kernelmemória védelmi funkcióit.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-27840: anonim kutató
Bejegyzés hozzáadva: 2024. június 10.
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A fizikai hozzáféréssel rendelkező támadók bizonyos esetekben kiszivárogtathatták a Mail-fiók hitelesítő adatait.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.
CVE-2024-23251: Gil Pedersen
Bejegyzés hozzáadva: 2024. június 10.
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A rosszindulatú célból létrehozott e-mailek bizonyos esetekben a felhasználó hozzájárulása nélkül indíthattak FaceTime-hívásokat.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Bejegyzés hozzáadva: 2024. június 10.
Messages
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Egy rosszindulatú célból létrehozott feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2024-27800: Daniel Zajork és Joshua Zajork
Bejegyzés hozzáadva: 2024. június 10.
Metal
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm, a Trend Micro Zero Day Initiative közreműködőjeként)
Bejegyzés hozzáadva: 2024. június 10.
RTKit
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A kernelolvasási és -írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a kernel memóriavédelmét. Az Apple tud egy olyan jelentésről, amely szerint előfordulhat, hogy ezt a problémát kihasználták.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2024-23296
Shortcuts
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Bizonyos esetekben a parancsok bizonyos műveletek során bizalmas adatokat tudtak felhasználni anélkül, hogy erről megkérdezték volna a felhasználót.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-27855: anonim kutató
Bejegyzés hozzáadva: 2024. június 10.
Spotlight
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.
CVE-2024-27806
Bejegyzés hozzáadva: 2024. június 10.
Symptom Framework
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Az alkalmazások bizonyos esetekben megkerülhették az Appok adatvédelmi jelentése naplózását.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-27807: Romy R.
Bejegyzés hozzáadva: 2024. június 10.
Sync Services
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát
CVE-2024-27847: Mickey Jin (@patch1t)
Bejegyzés hozzáadva: 2024. június 10.
Voice Control
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-27796: ajajfxhj
Bejegyzés hozzáadva: 2024. június 10.
WebKit
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt rögzíteni a felhasználó ujjlenyomatát
Leírás: További logika hozzáadásával megoldottuk a problémát.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos (Mozilla)
Bejegyzés hozzáadva: 2024. június 10.
WebKit
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) a Trend Micro Zero Day Initiative kezdeményezés keretében
Bejegyzés hozzáadva: 2024. június 10.
WebKit
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A rosszindulatú támadók tetszőleges olvasási és írási képesség birtokában megkerülhették a Mutatóhitelesítést.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) a Trend Micro Zero Day Initiative kezdeményezés keretében
Bejegyzés hozzáadva: 2024. június 10.
WebKit Web Inspector
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Bejegyzés hozzáadva: 2024. június 10.